Jaarplan 2018 Privacy & Informatiebeveiliging

Transcriptie

1 Jaarplan 2018 Privacy & Informatiebeveiliging 7 december 2017, Maarssen

2 VERSIEBEHEER Versie Datum Auteur Opmerkingen oktober 2017 Jelle Clemens Concept jaarplan oktober 2017 Opmerkingen Bert Hollebeek november 2017 Aanvullingen/ aanpassingen Ton Rittimon november 2017 Opmerkingen Marjolein Romijn november 2017 Afstemming Hans Zoun november 2017 Afstemming in Directieraad DIT DOCUMENT IS GEACCORDEERD DOOR Versie Datum Geaccordeerd door Opmerkingen Def. 7 december 2017 Directie - 1

3 INHOUDSOPGAVE 1. INLEIDING Informatiebeveiliging (security) Beschermen van persoonsgegevens (privacy) INHOUDELIJKE SPECIFICATIE Situatieschets Doelstellingen van dit jaarplan GEZAMENLIJKE ACTIEPUNTEN SECURITY EN PRIVACY Aanstellen van Functionaris Gegevensbescherming (FG) Bewustwording informatiebeveiliging en privacy ACTIEPUNTEN SECURITY Fysieke beveiliging Technische beveiliging ACTIEPUNTEN PRIVACY Register voor verwerking van persoonsgegevens inrichten Actualiseren van ons privacybeleid Burgers duidelijker informeren over de verwerkingen van hun gegevens Burgers moeten hun rechten onder de AVG kunnen uitoefenen DE PROCESVOERING Betrokkenen Verantwoordelijken (Strategische) Communicatie BEHEERSASPECTEN Tijdsplanning mijlpalen (ingedeeld op kwartaal)... 8 BIJLAGE 1: Hoofdlijnen van de AVG... 9 BIJLAGE 2: Memo aanstellen Functionaris Gegevensbescherming

4 1. INLEIDING Dit plan geeft een overzicht van de acties op het gebied van informatiebeveiliging (security) en de bescherming van persoonsgegevens (privacy) voor het jaar Security en privacy zijn nauw met elkaar verweven. Dit plan voorziet dan ook in een integrale aanpak. Verantwoordelijk voor de uitvoering van dit plan is de Chief Information Security Officer (CISO). De Privacy Officer (PO) zal hierbij ondersteunen. Op het moment dat de Functionaris Gegevensbescherming (FG) is aangesteld, zal deze, in samenspraak met de CISO, toezien op het uitvoeren van dit jaarplan. Dit jaarplan is integraal opgesteld met de teams Informatisering & Automatisering (I&A), Juridische Zaken (JZ) en Facilitaire Zaken (FZ) en een detaillering van de teamopdrachten van I&A en JZ. De organisatievisie DOE is hierbij meegenomen. 1.1 Informatiebeveiliging (security) Voor een goede informatiebeveiliging is de Baseline Informatievoorziening Nederlandse Gemeenten (BIG) leidend. Het beleidsstuk Beveiliging voor de Gemeente Stichtse Vecht conform de BIG op strategisch & tactisch niveau moet ervoor zorgen dat wij voldoen aan de normen van de BIG. Daarbij zijn de stand van de techniek en de behoeftes van de organisatie voortdurend aan veranderingen onderhevig. Dit maakt informatiebeveiliging een continue proces. 1.2 Beschermen van persoonsgegevens (privacy) Vanaf 25 mei 2018 zal de Algemene Verordening Gegevensbescherming (AVG) de huidige Wet bescherming persoonsgegevens (Wbp) vervangen. Deze nieuwe Europese wetgeving kent veel gelijkenissen met de Wbp, maar zorgt ook voor een aantal veranderingen waar wij als gemeente op voorbereid dienen te zijn (zie bijlage voor de hoofdlijnen van de AVG). Het goed op orde hebben van de verwerkingen van persoonsgegevens is essentieel voor een goede bedrijfsvoering. Wij zijn het zowel juridisch als moreel verplicht tegenover eenieder waarvan wij persoonsgegevens verwerken. 2. INHOUDELIJKE SPECIFICATIE 2.1 Situatieschets Het bewust omgaan met informatie van de gemeente moet leven binnen de organisatie. Wij merken op dat binnen de organisatie geen eenduidig beeld is met betrekking tot wat privacy en security precies inhoudt. Ook gaat de één daar soepeler mee om dan de ander. 1 Daarnaast zijn er in 2017 beveiligingsincidenten en datalekken geregistreerd en gerapporteerd aan de directie. Het is onwaarschijnlijk dat alle potentiële beveiligingsincidenten en datalekken intern worden gemeld. Tot slot dient privacy en security als randvoorwaarden bij de projecten Data 3.0 en Verbetering Werkprocessen. De fysieke beveiliging is geanalyseerd door een Mystery Guest, waarbij is onderzocht in hoeverre gemeentelijke gegevens toegankelijk zijn voor onbevoegden. De bevindingen zijn kort samengevat: Een onbevoegde kan toegang krijgen tot de beveiligde fysieke omgeving zonder toegangspas; Gevoelige informatie op onbeheerde bureaus of in onafgesloten kasten is in te zien door derden; Schermen worden niet altijd vergrendeld bij verlaten werkplek; Uitgaande post op de verzamelpunten is gemakkelijk in te zien door onbevoegden. Daarnaast is er een inventarisatie gemaakt van ons huidige beleid en regelingen met betrekking tot privacy en informatieveiligheid. Momenteel beschikken wij over de volgende instrumenten: Procedure meldplicht datalekken; Wachtwoordbeleid; Beveiligingsbeleid Gemeente Stichtse Vecht conform de BIG op strategisch & tactisch niveau; Uitgangspuntenregeling Privacy Sociaal Domein Gemeenten Stichtse Vecht, Wijdemeren, Weesp; In RAP (arbeidsvoorwaarden): en internet gebruik en mobiele telefoon en andere apparatuur. 1 Denk aan het uitwisselen van bestanden met veel gevoelige informatie via de mail of het downloaden van bestanden met gevoelige informatie op een persoonlijke device buiten de beveiligde omgeving van de gemeente. 3

5 2.2 Doelstellingen van dit jaarplan 1. Continue aandacht voor bewust omgaan met gemeentelijke informatie. 2. Het interne beleid en de bedrijfsvoering zijn in overeenstemming met de vereisten van de AVG (privacy) en de BIG (security). Dit beleid moet kenbaar en vindbaar zijn voor de organisatie. 3. De Functionaris Gegevensbescherming (FG) borgt en houdt toezicht op het beleid in samenwerking met de CISO. 4. Privacy en security vormen een vast onderdeel van de bedrijfsvoering. 3. GEZAMENLIJKE ACTIEPUNTEN SECURITY EN PRIVACY 3.1 Aanstellen van Functionaris Gegevensbescherming (FG) De AVG verplicht overheidsorganisaties om een Functionaris Gegevensbescherming (FG) aan te stellen. De FG ziet hierbij onafhankelijk toe op naleving van het privacybeleid, zoals ook de CISO dit doet voor security. In de programmabegroting 2018 is het aanstellen van een FG opgenomen. In de bijlage is een memo toegevoegd waarin de rol en het aanstellen van de FG apart wordt toegelicht. Actiepunten: Aanstellen van een FG Q FG (met CISO) rapporteert aan de directie over de voortgang van dit jaarplan en Per stelt waar nodig nieuwe actiepunten op kwartaal Succesfactor: FG laten opnemen in het register van de Autoriteit Persoonsgegevens (verplichting) Q Bewustwording informatiebeveiliging en privacy Uit de bevindingen van de Mystery Guest is gebleken dat medewerkers over het algemeen uitgaan van de goede bedoelingen van de mensen om zich heen. Vertrouwen tussen medewerkers is belangrijk, maar medewerkers moeten bewust zijn dat dit vertrouwen mogelijk niet altijd legitiem is. Bewust omgaan met informatie valt dan ook onder de integriteit en professionaliteit van onze medewerkers. 2 Veel van onze informatie is digitaal, wat meebrengt dat de risico s in de meeste gevallen onzichtbaar zijn. Het onderwerp moet daarom op tafel komen door de risico s te concretiseren. Teamleiders zijn verantwoordelijk voor een bewuste omgang met persoonsgegevens. Ook wordt gedacht aan één verantwoordelijke/ ambassadeur gegevensbeheer binnen de teams die veel persoonsgegevens verwerken. Het verbeteren van bewustwording moet in nauwe samenspraak met het project Data 3.0. Actiepunten: Communicatieplan opstellen m.b.t. privacy en security (in samenspraak met team communicatie) Begin Q Uitvoeren van testen zoals phishing mails en testen procedure datalekken Q Bespreken van privacy- en securityaspecten bij teamoverleggen Q Aandacht voor het nieuw op te stellen beleid inzake informatiebeveiliging en privacy Doorlopend Succesfactoren: Resultaten van testen tonen verbetering aan Q Aantoonbare toenamen van vragen m.b.t. privacy- en securitybeleid, deze gaan we Q2 2018/ vanaf 2018 bijhouden. We hebben hiervoor een gezamenlijke mailadres ingesteld: Q gegevensbescherming@stichtsevecht.nl) 2 Wij trekken hierbij op met het organisatie brede project waarbij de integriteit van de organisatie centraal staat. 4

6 4. ACTIEPUNTEN SECURITY 4.1 Fysieke beveiliging De bevindingen van de Mystery Guest hebben aangetoond dat de fysieke beveiling van onze informatie tekort schiet. Het risico bestaat, dat onbevoegden makkelijk bij ons binnen kunnen komen en inzage kunnen krijgen in vertrouwelijke informatie. Door een aantal beveiligingsmaatregelen in te richten kunnen de risico s worden beperkt. Actiepunten: Pilot bezoekersregistratie evalueren en vaststellen toegangsbeleid Q Clean-Desk Clear-Screen beleid opstellen/ vaststellen Q Zichtbare beveiliging door middel van medewerkerspassen Q Team Facilitaire Zaken adviseren over de realisatie van een personeelsingang. Q Succesfactoren: Resultaten tevredenheidsonderzoek bezoekersregistratie opleveren Q Vastgesteld toegangsbeleid en Clean-Desk Clear-Screen beleid Q Technische beveiliging Naast fysieke beveiliging dient onze technische beveiliging van informatie continue naar de stand van de techniek aangepast en verbeterd te worden. Bij informatiebeveiliging gaat het om het geheel van maatregelen, procedures en processen die erop zijn gericht de beschikbaarheid, integriteit en vertrouwelijkheid van informatie binnen de organisatie te garanderen. Technische beveiligingsincidenten, zoals hacks of onbevoegde toegang, moeten we zo goed mogelijk voorkomen. Indien er toch een incident plaatsvindt worden adequate maatregelen getroffen om de schade zoveel mogelijk te beperken. Actiepunten: Gedocumenteerde informatiebeveiligingsstandaarden en procedures instellen Q Dataclassificatie inrichten Q Inrichting autorisatiebeheer: o Inrichten bronsysteem medewerkers (tijdelijk en vaste medewerkers); o Aanvraag, registratie en uitvoering; o Opzetten autorisatiematrix; o Periodieke controles door teamleiders. Herziening informatiebeveiligingsbeleid (Beveiliging voor de Gemeente Stichtse Vecht conform de BIG op strategisch & tactisch niveau) Q Q Succesfactoren: Tijdelijke en vaste medewerkers zijn in het bronsysteem (voorstel PIMS) Q geregistreerd (controle op volledigheid wordt steekproefsgewijs uitgevoerd in de kwartaalcontrole) Beleid/standaarden voor de BIG-normen zijn vastgesteld Q Autorisatiematrix is minimaal beschikbaar voor kritische applicaties (die binnen de Q reikwijdte van de verplichte audits vallen) Per kwartaal controleert teamleiders de toegangsrechten en gebruikersaccount op Q juistheid en de vastlegging is beschikbaar gesteld aan de CISO Informatiebeveiligingsbeleid is vastgesteld Q

7 5. ACTIEPUNTEN PRIVACY 5.1 Register voor verwerking van persoonsgegevens inrichten Op grond van de AVG dient onze gemeente te documenteren (1) welke persoonsgegevens worden verzameld in de werkprocessen, (2) hoe en in welke systemen deze persoonsgegevens verwerkt worden en (3) met welke doeleinden wij deze gegevens verwerken. Voor de basis van dit register kan de AVG update voor I-Navigator gebruikt worden. Over het opstellen van het register zal de directie nader geïnformeerd worden omdat dit gekoppeld is aan het project Verbetering Werkprocessen (Johan Dorst). Daarnaast zullen er naar aanleiding van het register Privacy Impact Assesments uitgevoerd worden binnen teams waar veel (bijzondere) persoonsgegevens worden verwerkt. Actiepunt: Opzetten van het register voor verwerkingen van persoonsgegevens conform AVG Q Laten uitvoeren van Privacy Impact Assesments (standaard vragenlijsten) Q Succesfactor: Opleveren en presenteren register voor verwerkingen van persoonsgegevens Q Actualiseren van ons privacybeleid Een solide en actueel beleid op het gebied van gegevensbescherming is essentieel om de privacy te waarborgen. Het huidige beleid voldoet niet meer en zal herzien worden. De structuur voor het vernieuwde beleid zal bestaan uit een algemeen beleid waarin de naleving van de AVG op hoofdlijnen wordt beschreven, gevolgd door aanvullend beleid binnen specifieke domeinen (denk hierbij aan het sociaal domein, personeelszaken, handhaving en inkoop- en aanbesteding). Hierbij zal aansluiting gezocht worden bij het integriteitsbeleid. Het privacybeleid zal elke twee jaar geactualiseerd worden. Actiepunten: Opstellen algemeen privacybeleid en privacybeleid voor specifieke domeinen Q Inrichten van centrale pagina op waar het beleid te vinden is Q Succesfactoren: Vastgesteld algemeen privacybeleid Q Vastgesteld privacybeleid voor specifieke domeinen Q Aantoonbare toename van vragen m.b.t. het privacybeleid (deze gaan we vanaf 2018 bijhouden in een register) Q2 2018/ Q Burgers duidelijker informeren over de verwerkingen van hun gegevens De AVG verplicht overheidsorganisaties om burgers duidelijker en toegankelijker te informeren over de verwerkingen van persoonsgegevens. Wij hebben een privacy folder, deze is echter niet meer actueel en zal opnieuw opgesteld moeten worden. Daarnaast moeten wij op de website transparant zijn over het verwerken van persoonsgegevens. De FG dient als contactpersoon voor eenieder die vragen heeft met betrekking tot de verwerking van persoonsgegevens. Actiepunten: Ons privacybeleid op onze website publiceren, transparant informeren over verwerkingen van gegevens en contactgegevens FG toegankelijk maken Nieuwe privacy folder voor het sociaal domein ontwikkelen (in samenspraak met sociaal domein) Q Q Succesfactoren: Lancering van privacy pagina op de website van Stichtse Vecht Q Lancering privacy folder voor het sociaal domein Q

8 5.4 Burgers moeten hun rechten onder de AVG kunnen uitoefenen Burgers en medewerkers hebben nu al rechten onder de Wbp met betrekking tot de verwerking van hun persoonsgegevens. Er wordt op dit moment beperkt beroep gedaan op deze rechten, maar indien hierop beroep gedaan wordt dan merken wij op dat de organisatie niet goed weet hoe hiermee om te gaan. Onder de AVG worden deze rechten nog verder aangescherpt en komen deze rechten opnieuw in de publiciteit. Wij verwachten een toename van verzoeken waarin deze rechten worden uitgeoefend. De organisatie moet hierop voorbereid worden door het opstellen van procedures en werkwijzen. De rechten van betrokkenen waarvan wij persoonsgegevens verwerken zijn: Recht op inzage van de persoonsgegevens van de betrokkene. Recht op rectificatie van persoonsgegevens van de betrokkene. Recht op beperking van de verwerking van persoonsgegevens van de betrokkene. Recht op verwijderen van de gegevens van de betrokkene. Recht op intrekken van toestemming voor het verwerken van persoonsgegevens. Recht op bezwaar tegen verwerking van persoonsgegevens van de betrokkene. Actiepunt: Opstellen/ publiceren op Intranet van algemene werkwijze voor uitoefenen rechten onder de AVG met betrekking tot de verwerking van zijn of haar persoonsgegevens Q Succesfactoren: Vastgestelde procedures en werkwijzen voor het uitoefenen van deze rechten Q DE PROCESVOERING 6.1 Betrokkenen Informatiebeveiliging en het beschermen van persoonsgegevens strekt zich uit over de gehele organisatie. Het college op grond van de wet de verantwoordelijke met betrekking tot de verwerking van persoonsgegevens. De aan te stellen Functionaris Gegevensbescherming (FG) is een onafhankelijke toezichthouder en zal verantwoording afleggen aan het college en de directie. De CISO en de PO werken nauw samen met de FG en kunnen deze ondersteunen. Daarnaast moet er samengewerkt worden met andere gemeenten die met de implementatie van de AVG en informatiebeveiliging bezig zijn. Onze uitgangspuntenregeling sociaal domein is samen met Wijdemeren en Weesp vastgesteld, voor het herzien hiervan moet samengewerkt worden. 6.2 Verantwoordelijken Zoals hierboven gemeld is het college bij gemeenten in de zin van de AVG de Verantwoordelijke met betrekking tot de bescherming van persoonsgegevens binnen de gemeente. Het is van belang dat het college de noodzaak van een goed privacy- en informatiebeveiligingsbeleid onderstreept. De directie is de ambtelijke verantwoordelijke en opdrachtgever voor het uitvoeren van deze actiepunten. De FG (nog aan te stellen), CISO (Ton Rittimon) en juridisch adviseur privacy (Jelle Clemens) zijn verantwoordelijk voor het uitvoeren en borgen van deze actiepunten. De teamleiders zijn op teamleider niveau verantwoordelijk voor de bescherming van persoonsgegevens binnen het betreffende team. 6.3 (Strategische) Communicatie Er zal in samenspraak met het team communicatie een intern en extern communicatieplan opgesteld worden. De directie zal tweemaandelijks door middel van een memo in het directieoverleg op de hoogte gehouden worden met betrekking tot de uitrol van deze actiepunten. Na zes maanden wordt er een halfjaarverslag opgesteld en voorgelegd aan de directie. De FG rapporteert periodiek aan het college. 7

9 7. BEHEERSASPECTEN 7.1 Tijdsplanning mijlpalen (ingedeeld op kwartaal) Actiepunten Verantwoordelijke Belegd bij Opleveren Communicatieplan m.b.t. privacy en security opstellen (in samenspraak met team CISO en PO Ton Rittimon/ Jelle Clemens (begin) Q communicatie) en vaststellen door directie Team Facilitaire Zaken adviseren over de realisatie CISO Ton Rittimon Q van een personeelsingang. Pilot bezoekersregistratie evalueren en CISO Ton Rittimon Q vaststellen toegangsbeleid Clean-Desk Clear-Screen beleid opstellen/ CISO Ton Rittimon Q vaststellen Uitvoeren van testen zoals phishing mails en CISO en PO Ton Rittimon/ Q testen procedure datalekken Jelle Clemens Bespreken van privacy- en securityaspecten bij teamoverleggen FG, CISO en PO Ton Rittimon/ Jelle Clemens Q Aanstellen van een FG Directie (College van B&W) Dennis Goris Q Zichtbare beveiliging door middel van medewerkerspassen CISO (samen met Ton Rittimon Q Facilitaire Zaken) Opzetten van het register voor verwerkingen FG, CISO en PO Ton Rittimon/ Q van persoonsgegevens conform AVG Jelle Clemens Opstellen en vaststellen privacybeleid voor specifieke PO Jelle Clemens Q domeinen Inrichten van centrale pagina op PO Jelle Clemens Q waar het beleid te vinden is Ons privacybeleid op onze website publiceren, PO Jelle Clemens Q transparant informeren over verwerkingen van gegevens en contactgegevens FG toegankelijk maken Opstellen/ publiceren op Intranet van algemene PO Jelle Clemens Q werkwijze voor uitoefenen rechten onder de AVG met betrekking tot de verwerking van zijn of haar persoonsgegevens Nieuwe privacy folder voor het sociaal domein PO Jelle Clemens Q ontwikkelen (samen met het sociaal domein) Laten uitvoeren van Privacy Impact FG FG (nog aan te Q Assesments (standaard vragenlijsten) stellen) Gedocumenteerde informatiebeveiligingsstandaarden en procedures instellen CISO Ton Rittimon Q Dataclassificatie ingericht CISO Ton Rittimon Q Autorisatiebeheer ingericht CISO Ton Rittimon Q Herziening informatiebeveiligingsbeleid (Beveiliging voor de Gemeente Stichtse Vecht conform de BIG op strategisch & tactisch niveau) CISO Ton Rittimon Q FG (met CISO) rapporteert aan de directie over de voortgang van dit jaarplan en stelt waar nodig nieuwe actiepunten op Aandacht voor het nieuw op te stellen beleid inzake informatiebeveiliging en privacy FG (en CISO) FG, CISO en PO FG (nog aan te stellen)/ Ton Rittimon Ton Rittimon/ Jelle Clemens Per kwartaal Doorlopend 8

10 BIJLAGE 1: Hoofdlijnen van de AVG 9

11 BIJLAGE 2: Memo aanstellen Functionaris Gegevensbescherming 10

12 11